Azure 安全性管理和監視概觀

本文涵蓋 Azure 提供來協助管理和監視 Azure 雲端服務和虛擬機器的安全性功能和服務概觀。

Azure 角色型存取控制

Azure 角色型存取控制 (Azure RBAC) 會針對 Azure 資源提供詳細的存取管理。 透過使用 Azure RBAC，您可以僅授與使用者執行其作業所需的存取權。 Azure RBAC 也可以協助您確保當使用者離開組織之後，就無法存取雲端中的資源。

深入了解：

• Azure 角色型存取控制 (Azure RBAC)

反惡意程式碼

運用 Azure，您可以使用來自各大安全性廠商 (例如 Microsoft、Symantec、Trend Micro、McAfee 和 Kaspersky) 的反惡意程式碼軟體。 此軟體可協助保護您的虛擬機器來抵禦惡意檔案、廣告軟體和其他威脅。

適用於 Azure 雲端服務和虛擬機器的 Microsoft Antimalware 可讓您針對 PaaS 角色和虛擬機器安裝反惡意程式碼代理程式。 根據 System Center Endpoint Protection，這項功能會將經證實的內部部署安全性技術帶入雲端。

Azure 也支援 Symantec Endpoint Protection (SEP)。 透過入口網站整合，您可以指定想要在 VM 上使用 SEP。 SEP 可以透過 Azure 入口網站安裝在新的 VM 上，或透過 PowerShell 安裝在現有的 VM 上。

深入了解：

• 適用於 Azure 雲端服務和虛擬機器的 Microsoft Antimalware
• 可用於保護 Azure 虛擬機器的新反惡意程式碼選項 \(英文\)

多重要素驗證

Microsoft Entra 多重要素驗證是一種驗證方法，其需要使用一個以上的驗證方法。 它可以為使用者登入和交易新增重要的第二層安全性。

多重要素驗證有助於保護對資料與應用程式的存取，同時滿足使用者對簡單登入流程的需求。 它可以透過一系列的驗證選項 (例如電話、簡訊，或是行動應用程式通知或驗證碼) 和第三方 OATH 權杖來提供強大的驗證功能。

深入了解：

• 多重要素驗證
• Microsoft Entra 多重要素驗證的運作方式

ExpressRoute

您可以使用 Azure ExpressRoute，透過連線提供者所提供的專用私人連線，將內部部署網路延伸到 Microsoft Cloud。 使用 ExpressRoute 時，您可以建立與 Microsoft 雲端服務 (例如 Azure、Microsoft 365 和 CRM Online) 的連線。 連線可以來自：

• 任意點對任意點 (IP VPN) 網路。
• 點對點乙太網路。
• 共置設備上透過連線提供者的虛擬交叉連線。

ExpressRoute 連線不會經過公用網際網路。 相較於透過網際網路的一般連線，它們可以提供更為可靠、速度更快、延遲更低且安全性更高的網際網路連線。

深入了解：

• ExpressRoute 技術概觀

虛擬網路閘道

VPN 閘道 (也稱為 Azure 虛擬網路閘道) 可用來在虛擬網路與內部部署位置之間傳送網路流量。 它們也用來在 Azure 內多個虛擬網路之間傳送流量 (網路對網路)。 VPN 閘道提供 Azure 與基礎結構之間的跨單位安全連線。

深入了解：

• 關於 VPN 閘道
• Azure 網路安全性概觀

Privileged Identity Management

使用者有時候需要在 Azure 資源或其他 SaaS 應用程式中執行特殊權限的作業。 這通常表示組織授與他們永久的 Microsoft Entra ID 特殊權限存取權。

這會提高雲端資源的安全性風險，因為組織無法滴水不漏地監視這些使用者利用其特殊存取權限的所作所為。 此外，如果具特殊存取權限的使用者帳戶遭到入侵，這個缺口就會影響組織的整體雲端安全性。 Microsoft Entra Privileged Identity Management 透過降低權限的曝光時間，並提高使用方式的可見性，來協助解決此風險。

Privileged Identity Management 引進了角色的臨時系統管理員或「即時」系統管理員存取權的概念。 這種系統管理員是需要針對該指派的角色完成啟用程序的使用者。 啟用流程會在指定期間，將 Microsoft Entra ID 中角色的使用者指派從非作用中變更為作用中。

深入了解：

• Microsoft Entra Privileged Identity Management
• 開始使用 Privileged Identity Management

身分識別保護

Microsoft Entra ID Protection 提供可疑登入活動和潛在弱點的合併檢視，以協助保護您的企業。 Identity Protection 會根據如下的訊號，來偵測使用者和具特殊權限 (系統管理員) 身分識別的可疑活動：

• 暴力密碼破解攻擊。
• 認證外洩。
• 從不熟悉的位置和受感染的裝置登入。

藉由提供通知和建議的補救，Identity Protection 有助於即時降低風險。 它會計算使用者風險嚴重性。 您可以設定以風險為基礎的原則，自動協助保護應用程式存取，以免未來受到威脅。

深入了解：

• Microsoft Entra ID Protection

Defender for Cloud

適用於雲端的 Microsoft Defender 可協助您防止、偵測及回應威脅。 適用於雲端的 Defender 可協助您加強對 Azure 資源和混合式雲端環境中資源之安全性的可見度和控制權。

適用於雲端的 Defender 會針對已連線的資源執行持續的安全性評定，並對照 Microsoft 雲端安全性基準來比較其設定和部署，以提供針對環境量身打造的詳細安全性建議。

適用於雲端的 Defender 可透過下列方式，協助您最佳化和監視 Azure 資源的安全性：

• 讓您能夠根據下列各項來定義適用於 Azure 訂用帳戶資源的原則：
  • 您組織的安全性需求。
  • 每個訂用帳戶中應用程式的類型或資料的敏感度。
  • 您套用至訂用帳戶的任何產業或法規標準或基準。
• 監視 Azure 虛擬機器、網路和應用程式的狀態。
• 提供排列優先順序的安全性警示清單，包括來自整合式協力廠商解決方案的警示。 它也會提供讓您用來快速調查攻擊所需資訊，以及如何補救它的建議事項。

深入了解：

• 適用於雲端的 Microsoft Defender 簡介
• 在適用於雲端的 Microsoft Defender 中改善您的安全分數

後續步驟

了解共同責任模型，以及 Microsoft 和您各自應負責處理的安全性工作。

如需安全性管理的詳細資訊，請參閱 Azure 的安全性管理。